Account utente senza password

Naviga le tue risposte
44

Attualmente sto cercando lavoro, ea volte mi imbatto in siti che sono solo enormi database completi di annunci di lavoro, e prima di applicare devi creare un account. Mi sono imbattuto in un sito , ma sono scettico nei confronti delle sue pratiche di sicurezza.

Quando ho trovato un annuncio di lavoro a cui volevo iscrivermi ha chiesto il mio indirizzo e-mail, quindi l'ho inserito. Un pop-up mi ha chiesto di riprendere e le solite informazioni di contatto. Ho fornito ciò di cui avevo bisogno e ho inviato la mia domanda.

Tuttavia ho notato che utilizzava il mio indirizzo e-mail e ho creato un account utente senza chiedendomi una password.

Immediatamente, sono stato allarmato da questo, quindi ho controllato la mia e-mail pensando che il sito mi ha fornito una password temporanea che mi richiede di cambiare, solo per scoprire che dovevo confermare il mio indirizzo e-mail e poi ti viene richiesto di inserire una password. Dal mio punto di vista, ho avuto un account utente senza password per forse 3-5 minuti.

Avevo ragione a essere scettico? Devo eliminare il mio account?

    
posta 04.07.2018 - 17:36
fonte

6 risposte

73

Solo perché non hai impostato una password, questo non significa che il tuo account sia accessibile. Senza vedere il codice, non posso esserne sicuro, ma è possibile che tu non abbia potuto accedere al tuo account finché non hai usato il link nell'email per impostare la password. Stavi ancora utilizzando lo stesso ID di sessione mentre continuavi a utilizzare il sito.

    
risposta data 04.07.2018 - 18:09
fonte
66

Come programmatore che ha creato un flusso di lavoro per l'iscrizione degli utenti come questo, posso assicurarti che non c'è nulla di cui preoccuparsi .

Un po 'di informazioni di base

Quando inserisci la tua email, non viene creato alcun account utente (sì, hai letto bene). L'e-mail, il link, il tempo di scadenza e altri dettagli sono memorizzati. Una volta verificata la tua email e inserita la password, viene creato un nuovo account utente.

Dopo un po 'di tempo, se l'account utente non viene verificato, tutte le informazioni relative all'utente verranno eliminate.

Quindi, quello che è successo qui è che la tua email è stata verificata prima del processo di registrazione.

Perché è stato fatto?

Abbiamo fatto questo per evitare la creazione di account utente fasulli. Inoltre impedisce a qualcuno di creare un account utente associato alla tua email.

Adesso per rispondere alle tue domande

Was I right to be skeptical? Should I "delete" my account?

Non è necessario eliminare il tuo account. Questo è un comportamento insolito ma non dannoso. È solo una misura di sicurezza aggiuntiva.

    
risposta data 05.07.2018 - 08:09
fonte
21

I noticed however, it used my e-mail address and created a user account without prompting me for a password.

Questo approccio ha a che fare con la fornitura di esperienza utente con maggiore praticità; vogliono il tuo curriculum e i dettagli ma non vogliono infastidirti con la password, quindi ti lasciano solo la scelta di prendere il tuo tempo per impostare la tua password o non tornare mai più, dopo tutto hanno i tuoi dettagli.

Se usi un altro browser o una macchina per caricare il tuo curriculum con la stessa email, verrai probabilmente informato che esiste già un altro account con la stessa email, tuttavia tu o qualsiasi altra persona non puoi accedere a quell'account senza il link che hanno inviato a te. (ma non necessariamente in quanto dipende da come gestiscono ID univoci)

Was I right to be skeptical? Should I "delete" my account? I say delete in quotes, because who knows if this will be done.

Questo approccio è molto comune.
Non devi eliminare il tuo account, a meno che tu non abbia un altro motivo.

    
risposta data 04.07.2018 - 19:21
fonte
7

Primo punto importante: a meno che non abbiano fatto qualcosa di veramente stupido, un account senza password non è un rischio per la sicurezza. Invece, sarebbe normale che qualcuno non possa accedere ad un account senza password. Da quella prospettiva, creando un account senza password, inviando un'email all'utente per confermare, e quindi averli impostati una password non è più o meno sicuro, quindi impostare una password temporanea. Di conseguenza qui non vi sono problemi di sicurezza reali.

    
risposta data 04.07.2018 - 18:13
fonte
4

Pensa in questo modo: il link che l'e-mail ti ha fornito è, in un certo senso, la tua password temporanea. È una password temporanea "speciale" che consente di creare una password effettiva.

Guarda il link. Contiene un token / stringa lungo? Se è così, (e se è implementato correttamente, di cui non puoi mai essere sicuro al 100%), allora è sicuro quanto inviare una password temporanea letterale.

Ora, se il collegamento non contiene un token ed è un URL breve e indovinabile, potrebbe utilizzare la sessione che hai creato creando l'account. Se non lo fa, il sistema è veramente vulnerabile poiché chiunque potrebbe indovinare l'URL e cambiare la password dell'account associato.

    
risposta data 05.07.2018 - 15:27
fonte
0

Non vedo alcun motivo per eliminare l'account.

  1. e creato un account utente ... Ho avuto un account utente - Come sai che è stato creato veramente? Hai provato ad accedere prima di confermare la tua email? Potrebbe essere che non è stato creato alcun account. Potrebbe essere stato creato solo dopo aver confermato la tua email.
  2. Potrebbe essere stato creato un account ma è stato disattivato dall'inizio fino a quando non hai confermato la tua email.
risposta data 04.07.2018 - 23:26
fonte

Leggi altre domande sui tag

4096 bit chiavi di crittografia RSA vs 2048 Ho appena inviato username e password su https. Va bene?